Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

コンシューマIDのエンタープライズ領域での活用

1,307 views

Published on

2018/1/26 JNSAアイデンティティ管理WG主催「クロスボーダー時代のアイデンティティ管理セミナー」で使用した資料です。
SNSなどコンシューマIDを使って組織リソースへアクセスをさせる際に何を考えるべきか?という話です。

Published in: Technology
  • Be the first to comment

コンシューマIDのエンタープライズ領域での活用

  1. 1. コンシューマIDの エンタープライズ領域での活用 伊藤忠テクノソリューションズ株式会社 富士榮 尚寛 Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 1 JNSA アイデンティティ管理WG主催 「クロスボーダー時代のアイデンティティ管理セミナー」
  2. 2. 自己紹介 • • • • • • • • • • Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 2
  3. 3. アジェンダ • 組織IT部門への要求事項と対応 • コミュニケーションのBYOC~BYOIDへ • BYOIDを組織において実現するためには • IDライフサイクル管理 • ID保証レベル(IAL) • 認証保証レベル(AAL) • Azure AD B2Cで実装した例 • コミュニケーションのBYOCは可能か? • まとめ Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 3
  4. 4. 組織IT部門への要求事項 Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 4 働き方改革 (Any where, Any time, Any device) 現場(LoB)中心の業務改革 (スピード・利便性>管理性) • リモートアクセス • 使い慣れたデバイス • コミュニケーション基盤 • 現場でのクラウド導入 • 使い慣れたツール
  5. 5. 組織IT部門の対応 Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 5 働き方改革 (Any where, Any time, Any device) 現場(LoB)中心の業務改革 (スピード・利便性>管理性) • リモートアクセス • 使い慣れたデバイス • コミュニケーション基盤 • 現場でのクラウド導入 • 使い慣れたツール VPNの整備 BYODの許可とMDM メール+α BYOCの許可とIDaaS やCASB BYOD:Bring Your Own Device BYOC : Bring Your Own Cloud
  6. 6. 大前提となるのが コミュニケーション強化 Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 6 メールシステムの課題と限界 増え続ける添付ファイル →グループウェアで解消? リアルタイム性の欠如 →ビジネスチャットで解消? そもそも 見なくなる ここでもBYOC →野良LINE、 Slackなど 結局ツールが増えるだけ MDMやCASB で対応し続ける ?
  7. 7. 大前提となるのが コミュニケーション強化 Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 7 メールシステムの課題と限界 増え続ける添付ファイル →グループウェアで解消? リアルタイム性の欠如 →ビジネスチャットで解消? そもそも見なく なる ここでもBYOC →野良LINE、 Slackなど 結局ツールが増えるだけ MDMやCASB で対応し続ける ? コミュニケーション・ツールのBYOC に伴う「BYOID」 (Bring Your Own Identity) について向き合うべき時代の到来
  8. 8. 組織におけるBYOIDの要件 Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 8
  9. 9. BYOIDへの対応 CIAMのテクノロジーを使って実現 CIAMの主要な機能 • コンシューマID(SNSなど)を使ったID登録、ログイン • 認証強化(多要素認証、リスクベース認証) • 顧客DBとの紐づけ管理 • アプリケーションやAPIの保護 主なプレイヤー • Gigya(SAP) • Janrain • PingIdentity • Microsoft など CIAM=Customer Identity and Access Management Source: Kuppingercole
  10. 10. 組織における課題 Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 10 組織におけるID管理の要件 IDライフサイクル管理 • IDの作成~破棄が組織側によって管理されること • ID保証が組織のポリシーに則って実行されること 認証 • 組織のポリシーに則って認証されること 認可(アクセス制御) • IDライフサイクルに連動してコントロールされること BYOIDを実現する上で必要なこと • 組織でID作成~破棄ができること • 組織の要求するレベルのID・認証保証がされること
  11. 11. そのために必要なこと Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 11 組織でID作成~破棄の管理ができること • 「顧客DBとの紐づけ機能」を応用し、組織内のID管理シ ステムとコンシューマIDを紐づけることで対応 組織の要求するレベルでID・認証保証がされること • ID保証(入社・契約時の身元確認) • 結局はオーソリティによる第三者保証 • 住民票 • 元請け会社 • マイナンバーや運転免許証を使い対面取得したキャ リアIDなどの利用 • 認証レベル • そもそもパスワード認証よりは強固 • 普段から頻繁に使っている=ID盗難の可能性は低い (気が付ける)
  12. 12. そのために必要なこと Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 12 大学ICT推進協議会(AXIES)年次大会での議論 / NII佐藤先生 SNSなど外部のIDを持ち込む場合の課題 ・ID保証レベル(IAL) ⇒ 間接的なトラストの捉え方 ・認証保証レベル(AAL) ⇒ スマホ、常時利用の捉え方
  13. 13. そのために必要なこと Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 13 大学ICT推進協議会(AXIES)年次大会での議論 / NII佐藤先生 ID保証レベル(IAL) アンカーとしてキャリアID は一つの選択肢となりうる 認証保証レベル(AAL) デバイス=多要素、常時利用 状態は強みと考えられる
  14. 14. Azure AD B2Cでの実装例
  15. 15. IDライフサイクル管理に関する 要求に対する対応 Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 15 ①QRコード等でLINE@ を友達登録 ②友達登録をすると トークルームを利用可能に ③LINE ID紐づけをしないと 従来のメールアドレス/ パスワードでログイン ④LINE ID紐付けを実施 ⑤LINE ID紐づけを実施後 はシングルサインオン LINEアプリ 管理者が払い出した 既存のID/PWDで ログオン 自身で紐付けた SNS IDでログイン ※Graph APIによる ID管理が可能
  16. 16. ID保証要求に対する対応 Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 16 LINEなどそもそもID登録時にキャリア認証が 必要な物に加え、個別で本人確認をするケース
  17. 17. 認証保証要求に対する対応 Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 17 リンク ID/パスワードでログイン LINEでログイン LINEアプリで 自動ログイン メールシステム 無線LAN 連携先によって 多要素認証も可能
  18. 18. コミュニケーションの改善(LINEの例) Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 18 Office365へのアクセス (Exchange Online、 SharePoint Online) LINE IDを紐づけ、 SSOするための設 定 Office365へ重要なメー ルが届いた場合、LINE へ通知する設定 重要なメールが届くとタイム ラインに通知される LINEトークルームのメニューより各種機能を呼び出すことが可能 • メールを見る • ポータル • 組織IDとLINEアカウント を紐づける • 重要度の高いメールをLINE へも通知する SNSはあくまで入り口。 個々のやり取りをSNS上 で行う訳ではない
  19. 19. コミュニケーションのBYOCは可能か? Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 19 • 普段使っているツール (SNS)を利用 • ストレスのないコミュニケ ーションの実現(SNSによ るBYOC) 利用者の視点 • IDの管理は組織側で実施 できる(ID紐づけ) • SNSは入り口なので、勝手 にSNS上でやり取りをされ るわけではない 管理者の視点 利用にあたっては、啓蒙活動が必要 • 利用者:SNSの持ち込みの気持ち悪さの解消 • 管理者:組織外の個人情報の管理 ただし、
  20. 20. 実際、どこまで持ち込んでいるか? Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 20 SNS提供者にもよるが、コンテキストが混ざることを一番 気にしているのはSNS提供者(歴史が違う) 例) • LINE(LINE@) • 接続するLINE@(組織)ごとにユニークな個人識別 子を払い出し、組織側からは利用者のいわゆるLINE ID(個人同士で使うID)はわからない • Facebook(Facebook Page) • ページ単位、クライアントアプリケーション(OAuth クライアント)の単位でユニークな個人識別子を払い 出している →つまり、組織側に連携される識別子が仮に漏洩したとして も使いようがない状態にはなっている
  21. 21. まとめ Copyright (c) 2000-2018 NPO日本ネットワークセキュリティ協会 Page 21

×